Die “Königsklasse” beim Filtern ist das Filtern auf IP-Ebene.
Wie funktioniert das Filtern auf IP-Ebene?
Das Internet-Protokoll ist im Schichtenmodell die Schicht, die direkt auf dem Übertragungsmedium aufliegt. Da das Internet-Protokoll die unterste Schicht in der Übertragung des Internets ist, sind alle darüberliegenden Protokolle darin eingekapselt. Wird also eine Website übertragen, dann geschieht dies über das HTTP-Protokoll, das wiederum im TCP-Protokoll eingekapselt ist und dies wiederum im Internet-Protokoll.
Die Adressierung im Internet-Protokoll erfolgt über IP-Adressen; jeder Rechner im Internet muss über eine solche IP-Adresse erfolgen und ist über diese Adresse eindeutig identifizierbar. Denkbar ist aber auch, die gesamte IP-Kommunikation an dieser Stelle inhaltlich zu analysieren und aufzuzeichnen, was bei nicht verschlüsselter Kommunikation das Nachvollziehen der übertragenen Inhalte ermöglicht. So erfolgt für gewöhnlich auch das Abhören von Internet-Anschlüssen.
Wie wäre der Filteransatz beim Filtern?
Der Filteransatz läuft beim IP-Filtering über das Analysieren bzw. Ausfiltern von IP-Kommunikation nach bestimmten Kriterien. Sinnvollerweise ist das die Absender- oder Empfängeradresse. Da dieses Filtering auf der untersten Ebene der Internet-Kommunikation erfolgt, ist das Filtern an dieser Stelle auch sehr fundamental “hart”, weil hier die Kommunikation an der Wurzel infiltiert wird und im Filterfall die gesamte Kommunikation gemäß den Filterregeln unterbunden werden kann.
Wo hapert es im Filteransatz des IP-Filterings?
Der “Kollateralschaden” ist beim IP-Filtering dann sehr hoch, wenn es um Dienste geht, die auf einer IP-Adresse mehrere Dienste gleichzeitig betreiben. Genau das wird mit Webservern gemacht, denn das HTTP-Protokoll ermöglicht es, dass auf einer IP-Adresse zwar ein Webserver als Dienst laufen kann, der jedoch eine Vielzahl von virtuellen Webserver-Instanzen haben kann – je nach Provider durchaus tausende von Instanzen gleichzeitig. Würde man so eine IP-Adresse sperren, um eine bestimmte Webserver-Instanz zu bekämpfen, würde man auf einen Schlag auch alle anderen Instanzen blockieren.
Ähnlich sieht es bei vielen anderen Diensten aus und inzwischen auch mit vielen Unternehmensnetzwerken, die intern keine öffentlichen IP-Adressen verwenden, sondern private Bereiche, die dann per NAT über eine IP-Adresse an das Internet angebunden sind.
Fazit
Das Filtern auf IP-Ebene ist “hart” und umfassend. Nicht ohne Grund ist diese Art von Filtern in den Diskussionen um die Online-Sperre verpönt, da dieses Filtern nach gängiger Rechtsauffassung auf jeden Fall das Fernmeldegeheimnis bricht, da Kommunikation unterbunden wird.
Da moderne Internet-Dienste den Betrieb mehrerer Instanzen auf einer IP-Adresse ermöglichen, ist das IP-Filtern für das Sperren einzelner Websites auch denkbar schlecht geeignet, da der Kollateralschaden durch Filtern von eventuell benachbarten Angeboten, die sich die IP-Adresse teilen, beträchtlich sein kann und die Rechte vieler Anbieter und Nutzer verletzen könnte.
Schreibe einen Kommentar zu Technische Grundlagen zu Online-Sperren. | blog@netplanet Antworten abbrechen